Publicada vulnerabilidad en SAP NetWeaver que podría permitir a un atacante remoto leer cualquier archivo del sistema afectado.

NetWeaver es una plataforma compuesta por todas las aplicaciones SAP, que tiene el objetivo de lograr una mejor integración entre ellas, utilizar estándares para asegurar la interoperabilidad, aportar flexibilidad, y reducir costes. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.

La vulnerabilidad está provocada por un error en el parser PMI XML cuando valida peticiones XML. Un atacante podría aprovechar este problema para leer cualquier archivo local.

SAP ha publicado un aviso (SAP Note 1721309) en el que informa sobre esta vulnerabilidad.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/10/acceso-remoto-ficheros-arbitrarios-en.html#comments

Más información:

SAP Note 1721309
https://service.sap.com/sap/support/notes/1721309

ERPScan (DSECRG-12-037):
http://erpscan.com/advisories/dsecrg-12-037-sap-netweaver-pmi-agent-configuration-xml-external-entity/

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar